Trojanska hästar - från pokerprogram?

[Matfrid]

Jag upptäckte igår att datorn var infekterad av en samverkande trio av trojaner:

indt2.sys ( körs som service)

router.exe

perfs.exe

 

AVG antivirus kan känna igen vissa Downloader.* trojaner i dessa, men tydligen inte stoppa infekteringen. Jag fick pilla en del manuellt (ta bort service och exe-filer, ta bort sluga kopior i prefetch och internet-foldrar som den försöker återinstallera sig med hjälp av)

 

Eftersom jag inte vet varifrån angreppet kom, tänkte jag skriva om det här och se om det är fler som drabbats. Jag tror inte att sannolikheten för att de kommer från något pokerrelaterat är så stor, men utesluter det inte.

[decoy]

Det var längesedan jag råkade ut för något sådant; nu kör jag bara SvS, och där tror jag inte man riskerar några trojaner.

 

Men jag har ett minne av en gång för ett par år sedan, då jag fick någon slags trojan via Pacific. Jag har inga detaljer tyvärr, så jag kan inte säga tt siten som sådan var ansvarig, men det var relaterat till PacificPoker den gången. Sedan dess har de ju dock uppdaterat programvaran, så nu tror jag riskerna är mindre.

 

Men det finns ju en uppsjö av pokerrum, som bekant. MansionPoker skulle jag inte lita på t.ex.

[brainslicer]

När man googlar lite så verkar ju iaf sys delen vara rootkit(AVG har ett skilt program för rootkits) http://free.grisoft.com/doc/download-free-anti-rootkit/us/frt/0

 

många får tipset att se till java är uppdaterat (kan du ha besökt nån elak/hackad sida? med sårbar java, eller annat sårbart)

 

http://forums.techguy.org/malware-removal-hijackthis-logs/661092-trojan-clicker-win32-vb-wmproblem.html

Your Java is out of date. Older versions have vulnerabilities that malware can use to infect your system. Please follow these steps to remove older version of Java components and upgrade the application. This is NOT supported for use in 9x or ME and probably will not install in those systems

 

Upgrading Java:

• Download the latest version of Java Runtime Environment (JRE) 6 update 3.
  
• Scroll down to where it says "The J2SE Runtime Environment (JRE) allows end-users to run Java applications".
  
• Click the "Download" button to the right.
  
• Check the box that says: "Accept License Agreement".
  
• The page will refresh.
  
• Click on the link to download Windows Offline Installation with or without Multi-language and save to your desktop.
  
• Close any programs you may have running - especially your web browser.
  
• Go to Start > Control Panel, double-click on Add/Remove programs and remove all older versions of Java!
  
• Check any item with Java Runtime Environment (JRE or J2SE) in the name.
  
• Click the Remove or Change/Remove button.
  
• Repeat as many times as necessary to remove each Java version.
  
• Reboot your computer once all Java components are removed.
  
• Then from your desktop double-click on the download to install the newest version.

observera: Add/Remove programs and remove all older versions of Java!

B2B klienter kommer med gammal java(Sun Java JRE 5.0.60.5), tar man bort javan så slutar klienten fungera. Vet inte hur farligt det är men alla säkerhets sidor understryker vikten att manuellt ta bort gamla java versioner(gamla versioner försvinner inte automatiskt när man uppgraderar java)

 

du kan använda: https://psi.secunia.com/ för att upptäcka gamla/sårbara versioner

 

 

Edit: var ju nån som skrev http://pokerforum.nu/forum/poker-off-topic/43680-virus-pa-sharkscope.html igår

 

[Matfrid]

När man googlar lite så verkar ju iaf sys delen vara rootkit(AVG har ett skilt program för rootkits) http://free.grisoft.com/doc/download-free-anti-rootkit/us/frt/0

 

många får tipset att se till java är uppdaterat (kan du ha besökt nån elak/hackad sida? med sårbar java, eller annat sårbart)

 

http://forums.techguy.org/malware-removal-hijackthis-logs/661092-trojan-clicker-win32-vb-wmproblem.html

observera: Add/Remove programs and remove all older versions of Java!

B2B klienter kommer med gammal java(Sun Java JRE 5.0.60.5), tar man bort javan så slutar klienten fungera. Vet inte hur farligt det är men alla säkerhets sidor understryker vikten att manuellt ta bort gamla java versioner(gamla versioner försvinner inte automatiskt när man uppgraderar java)

 

du kan använda: https://psi.secunia.com/ för att upptäcka gamla/sårbara versioner

 

 

Edit: var ju nån som skrev http://pokerforum.nu/forum/poker-off-topic/43680-virus-pa-sharkscope.html igår

 

 

Ja, jag såg lite info om att det skulle vara ett rootkit. Har kört AVG's program mot rootkit, och även sysinternals.

 

Eftersom inte fler känt igen programmen jag nämnde, är det väl troligast att de kom från något annat än pokerrelaterade program. En trolig kandidat är en ny version av **** från **** ( fy på mig!) som AVG slog larm om så fort den satte igång. Eftersom jag omedelbart tog itu med att eliminera virus då detta hände, så kanske de inte hann göra någon skada. Men jag överväger ändå att snart ominstallera Windows, för man kan aldrig veta med rootkits.

[brainslicer]

Ja, jag såg lite info om att det skulle vara ett rootkit. Har kört AVG's program mot rootkit, och även sysinternals.

 

Eftersom inte fler känt igen programmen jag nämnde, är det väl troligast att de kom från något annat än pokerrelaterade program. En trolig kandidat är en ny version av Nero från piratebay ( fy på mig!) som AVG slog larm om så fort den satte igång. Eftersom jag omedelbart tog itu med att eliminera virus då detta hände, så kanske de inte hann göra någon skada. Men jag överväger ändå att snart ominstallera Windows, för man kan aldrig veta med rootkits.

 

Ajjabajja, se om du kan hitta ett windows där också

 

du kan ju testa med HijackThis o posta loggen på tex techguy forumet för att känna dig säkrare...